מה הוביל את נשיא ארה"ב להתערב בתחום של Patch Management?

נשיא ארה"ב הוא כנראה אחד האנשים העסוקים בעולם. כלל המשברים העולמיים והפנים-אמריקנים – ולא חסרים כאלו – מתנקזים לשולחנו של נשיא המעצמה המובילה את העולם. זו הסיבה שעולם הטכנולוגיה הרים גבה בתדהמה כאשר נשיא ארה"ב מצא את הזמן כדי לפרסם בחודש מאי שנה שעברה הוראה נשיאותית הנוגעת לעולמות הגנת הסייבר. עוד יותר מכך, כאשר בתוך אותה ההוראה נכללה התייחסות ספציפית ומפורשת לצורך הקריטי של כלל מוסדות הממשל האמריקאי לתקנן ולהסדיר את התחום של הטלאת חולשות מוכרות במערכות המחשוב – תהליך המוכר בשם Patch Management.

חצי שנה לביצוע הטלאה

הרקע למהלך הנשיאותי הוא מלחמת הסייבר הגלויה והחשאית, שמתנהלת ומתעצמת בין הארגונים הלגיטימיים בעולם – ממשלתיים ועסקיים כאחד – ובין ארגוני פשיעת סייבר וגורמים מדינתיים המנצלים את מרחבי הסייבר לריגול וחבלה. אין כמעט שבוע בו אנו לא קוראים או שומעים על מגה-מתקפה כנגד גופי ממשלה או ארגונים עסקיים. למעשה, העניין הפך לאתגר מהמעלה הראשונה, שהצריך אף את התערבותו של נשיא ארה"ב בעצמו.

הביצוע של ההוראה הנשיאותית הופקד בידיה של הסוכנות הפדראלית האמריקאית להגנת הסייבר והגנת התשתיות – המוכרת בכינויה CISA – שתרגמה אותה לתכנית פעולה עם יעדים ולוחות זמנים. על פי התכנית, שהתפרסמה בתחילת נובמבר, מוטלת חובה על כלל מוסדות הממשל והסוכנויות האמריקניות להשלים בתוך פרק זמן של 60 יום בחינה מחדש וקביעת מדיניות מסודרת של ניהול החולשות הארגוניות (Vulnerability Management). עוד כוללת התכנית הוראה מחייבת לתעדף תיקון של כמה מאות חולשות קריטיות בעלות טלאים (Patch), ולהשלים את הפצתן בארגונים עד מחצית השנה הנוכחית.

הסדק שהפך לשבר

הנושא של Patch Management מלווה את עולם המחשוב כבר למעלה משני עשורים, והוא מתייחס לתחום שמיועד לחסום את האפשרות של האקרים לנצל חולשות מוכרות, כאלו שהספקיות הזהירו מפניהן בצורה פומבית ואף פרסמו להן טלאי. דוגמא למתקפה מהסוג הזה היא גם אחת הראשונות שהיו בעלות אופי גלובאלי והרסני – מתקפת תוכנת הכופר WannaCry. התוכנה הזדונית, שהפצתה החלה במאי 2017, גרמה להצפנה של מידע על גבי יותר מ-230 אלף מחשבים בכ-150 מדינות, ולנזק כלכלי שהוערך בטווח של מאות מיליוני דולרים ועד 4 מיליארד דולרים. תוכנת הכופר ניצלה חולשה מוכרת וידועה במערכת ההפעלה למחשבים אישיים ושרתים מסוג Windows, שדווחה על ידי חברת מיקרוסופט כמעט חודשיים קודם לכן, וכללה טלאי תוכנה שפורסם על מנת לחסום את החולשה. אלא שמרבית הארגונים בעולם לא טרחו להטמיע את עדכון התוכנה, ומכאן ועד למתקפה גלובלית הדרך כבר הייתה קצרה.

אלא שמה שהיה לפני שנים אחדות סדק הפך בשנתיים האחרונות לשבר גדול. על פי נתונים אותם פרסמה הסוכנות הפדראלית CISA עולה כי בשנת 2020 לבדה זוהו כ-18 אלף חולשות חדשות, והדבר מדגיש לדעתה של הסוכנות את הצורך שקיים במגזר הממשלתי, אך גם בעסקי, לתעדף את התחום של ניהול החולשות ולהסדיר את התחום המנהל את תהליך ההטלאה של החולשות.

נתון נוסף אותו חשפה CISA נוגע במהירות שבה האקרים מנצלים חולשה שפורסמה על ידי ספקית טכנולוגיה. מנתוני הסוכנות עולה כי מתוך החולשות המוכרות שנוצלו על ידי האקרים – 42% נוצלו לביצוע תקיפות כבר במהלך היממה הראשונה לפרסומן; 50% תוך יומיים מהפרסום; ו-75% תוך 28 ימים מהפרסום. הנתון הפנומנלי הזה מצביע על הפער בין המהירות של התוקפים מצד אחד, ובין האיטיות של מקצועני הסייבר מהצד השני. למעשה, כאשר מדובר על הפצת טלאים (Patches) בתוך הארגון, הרי שההערכות מדברות על זמן ממוצע להטלאה – Mean Time To Patch ר"ת MTTP – העומד על 60 עד 150 ימים. זהו פער בלתי נסבל, והמשמעות שלו היא אחת – עד שהארגונים מבצעים הטלאה הם כבר יכולים להיות מותקפים דרך אותה חולשה, ואולי אף להיפרץ.

למעשה, הערכות שונות מדברות על כך שבין 40% ועד כדי 60% מכלל הפריצות לארגונים מקורן בחולשות מוכרות שהוכרזו על ידי ספקיות הטכנולוגיה. כך לדוגמא, דו"ח של חברת המחקר Ponemon מעלה כי 42% מכלל הארגונים סבלו מהתקפות סייבר שמקורם בניצול חולשות שלא עודכנו בטלאי תוכנה, שכבר היה זמין.

כול הנתונים מלמדים אותנו כי קיים צורך דחוף במגזר הארגוני לנהל את התחום של Patch Management בצורה הדוקה הרבה יותר מזו שהייתה נהוגה עד היום, ושארגונים נדרשים להשקיע בתחום משאבים ניהוליים נאותים, משאבי כוח אדם ומשאבים כספיים הנדרשים כדי לחסום את הפרצה הגדולה הזו, שקיימת בארגונים כה רבים.

איך עושים ניהול עדכוני תוכנה – Patch Management –  בצורה נכונה?

1. “לתת גב” – אחד הגורמים הראשונים להבנה של התחום הוא שמדובר במאמץ מתמשך, בלתי פוסק, סיזיפי, שאין בו ניצחונות גדולים. בעולם של ניהול עדכוני תוכנה אף אחד לא קיבל פרס על מתקפה שהוא מנע בגלל שהתקין עדכון תוכנה בזמן. אם כבר, אז מקצועני הסייבר העובדים בתחום הטלאת התוכנה מדווחים על קשיים תפעוליים שהם נתקלים בהם בתוך הארגון – גורמים עסקיים שמעדיפים להימנע מ'הורדה' של מערכות לטובת עדכוני תוכנה; תיאומים מסובכים בתוך הארגון לביצוע של הפעילות ועוד. מנהלים נדרשים להבין, שעליהם לתעדף את הפעילות הזו גבוה באג’נדה התפעולית-ארגונית שלהם.
2. השקעת משאבים – ארגונים רבים עדיין אינם מתקצבים בצורה נאותה את תחום הפעילות הזה. בין שמדובר בפעילות בעלת אופי רוטיני של ובין שהיא נחשבת חסרת ברק. למרות מתקפות העבר והמחקרים המעידים על כך שמדובר בווקטור תקיפה משמעותי, ארגונים עדיין אינם מבצעים את ההשקעות הנדרשות כדי להטמיע בצורה יעילה ומהירה את עדכוני התוכנה הנדרשים לחסימה של המתקפה הבאה. בהקשר זה כדאי להזכיר – הנזק הכלכלי לארגון שתגרום מתקפה אחת מוצלחת, שתנצל חולשה מוכרת שטרם עודכנה, יהיה גבוה לאין שיעור מאשר כלל ההשקעות שהארגון נדרש לבצע כדי לחסום את המתקפה מבעוד מועד.
3. קביעת מדיניות מעשית – הארגון נדרש לקבוע מתודולוגיה סדורה לניהול תחום עדכוני התוכנה. המדיניות הזו צריכה להביא בחשבון את הדרישות של אנשי אבטחת מידע מצד אחד, את דרישות הרגולציה מצד שני ואת הצרכים של הארגון מצד שלישי. המדיניות הזו צריכה להיות ברורה לכלל המשתמשים בארגון, לשמש עבורם מצפן ולהכפיף את כלל המשתמשים בארגון לסט של כללים החוזר על עצמו. המדיניות מיועדת לאפשר יישום של טלאי תוכנה במהירות האפשרית מבלי לפגוע בפעילותו השוטפת של הארגון.
4. איסוף מודיעין – העולם של ניהול עדכוני תוכנה מוצף במידע המגיע מספקיות התוכנה ומרשויות סייבר מקומיות ובינ"ל. על מקצועני הסייבר האמונים על פעילות הטלאת התוכנה לבצע איסוף מסודר של מקורות המידע השונים, להבין את המשמעויות של כל אחד מהם, לתעדף אותם ולהכניס אותם לעבודה בצורה מסודרת. אם הארגונים אינם מסוגלים לבצע את הפעילות הזו בעצמם, מומלץ להיעזר ביועצים חיצוניים שיעזרו להם בכך.
5. שימוש בכלים מתקדמים – בעולמות המתמחים בניהול עדכוני תוכנה פותחו פלטפורמות ייעודיות הכוללות אלמנטים של AI, לימוד מכונה ואוטומציה, שמיועדים לאפשר ביצוע הפעילות בצורה מהירה יותר ויעילה. כלים מסוג זה גם יכולים לספק תמונת מצב טובה יותר של מצב החולשות בארגון ותובנות לגבי האפשרויות בהן ניתן לסגור את הפערים. אם קיים לחץ גדול על המשאבים הכספיים של הארגון, פלטפורמות מבוססות AI יכולות לספק יתרון באמצעות הטכנולוגיה שלהן.

ביום שלישי, ה-24 במאי 2022, בין השעות 11:00-12:00 , תקיימנה החברות Webinar אשר יפתח ע"י מנכ"ל ומייסד פרולוג'יק ונציגת Ivanti בישראל. בוובינר יוצג דמו חי המסביר איך ניתן לנהל את ציוד הקצה הארגוני שלכם באמצעות פלטפורמה אחת ולסיום סיפור לקוח של ארגון ביטחוני.

הכנס מיועד ל Unix manager, CISO, Security, Information Security Manager, SYSTEM ADMIN, IT Manager, Data Center, CIO, CTO, Sys admin, HEAD OF IT, Chief Information Security Officer, Chief Technology Officer, System, Linux ו MacOS.

ההשתתפות ללא תשלום אך מחייבת הרשמה מראש.

לפרטים והרשמה: https://bit.ly/3OFfBmd